0x00 前言

系统管理员和用户通常可以通过 RDP(远程桌面)协议登录指定服务器,而攻击者可以通过可以特权提升至 SYSTEM 权限的用户,可以在不知道其他用户登录凭据的情况下,用来劫持其他用户的 RDP 会话。

0x01 利用条件

需要管理员本地组成员攻击 ID
Administrators不适用

0x02 过程

当已经获取了本地管理组的用户权限,可以尝试提到 SYSTEM 权限,并在命令行或者任务管理器查看可用的会话列表:

quser

3450349584.png

查看已有的用户会话,可以无需登录凭证劫持任意存在的会话。

通过 tscon 命令,正常切换会话需要输入对应用户的密码。

比如切换到会话 ID 为 2 的用户:

tscon 2 /PASSWORD:xxxxxxxx

在 SYSTEM 权限下切换的话无需密码即可切换。

我们可以指定从直接切到 ID 为 2 的这个会话,并从 larry 这个用户桌面切换:

使用 /dest: 指定当前会话的名称。

tscon 2 /dest:console

可以看到成功来到了 2 的桌面。

142231691.png

0x03 场景

目前在较新版本如 Windows10/2016 等版本均可以劫持,可以设想会有以下几种场景可以尝试这种方法。

1、域内当域管理员登入到当前机器,切换到域管理员账号桌面进而获得域管权限。

2、12/16 等版本无法直接转存内存文件获取用户的密码,但是可以操作存在的用户会话,进而获取用户的权限。

0x04 总结

一些思考:

在内网渗透中,或有奇效,想象一下更多的场景,mark 一下。

0x05 参考

Passwordless RDP Session Hijacking Feature All Windows versions

Lateral Movement

内容来源

原文作者:Keefe
http://www.aiyuanzhen.com/index.php/archives/266/

标签: none

添加新评论